AWS Key Management Service
開発者ガイド

AWS Key Management Service とは

AWS Key Management Service (AWS KMS) は、データの暗号化に使用される暗号化キーの作成と管理を容易にするマネージド型サービスです。お客様が AWS KMS で作成するカスタマーマスターキーは、ハードウェアセキュリティモジュール (HSM) によって保護されています。当社の HSM は、中国 (北京) および 中国 (寧夏) リージョンを除き、FIPS 140-2 Cryptographic Module Validation Program で検証済みです。

AWS KMS は、管理する暗号化キーでデータを暗号化する他のほとんどの AWS サービスに統合されています。また AWS KMS は AWS CloudTrail にも統合されており、暗号化キーの使用ログを表示できるため、監査、規制、およびコンプライアンスの要求に応えるために役立ちます。

AWS KMS マスターキーでは、以下の管理操作を実行できます。

  • マスターキーの作成、説明、一覧表示

  • マスターキーの有効化と無効化

  • マスターキーにアクセス許可ポリシーを作成し、アクセス権限を表示する

  • マスターキーの暗号化マテリアルの自動ローテーションの有効化と無効化

  • AWS KMS マスターキーに暗号化マテリアルをインポート

  • 素早い識別、分類および追跡のためのマスターキーのタグ付け

  • マスターキーに関連付けられるフレンドリ名としてのエイリアスの作成、削除、一覧表示、更新

  • マスターキーを削除してキーのライフサイクルを完了する

AWS KMS では、マスターキーを使用して以下の暗号関数を実行することもできます。

  • データの暗号化、復号、再暗号化

  • プレーンテキストでサービスからエクスポートできるデータ暗号化キー、またはサービスから持ち出せないマスターキーで暗号化されたデータ暗号化キーの生成

  • 暗号化アプリケーションに適したランダムな数値の生成

AWS KMS を使用することで、暗号化するデータへのアクセスをより詳細に制御できます。キー管理および暗号化機能を直接アプリケーションで使用するか、AWS KMS と統合される AWS サービスを通じて使用できます。AWS のアプリケーションを作成しているか、AWS サービスを使用しているかにかかわらず、AWS KMS ではマスターキーを使用できるユーザー、暗号化されたデータにアクセスできるユーザーを制御できます。

AWS KMS は、指定した Amazon S3 バケットにログファイルを配信するサービスである AWS CloudTrail と統合されます。CloudTrail を使用することで、マスターキーをだれがいつどのように使用したかをモニタリングし、調査できます。

詳細はこちら

  • AWS KMS の詳細については、「AWS KMS の概念」を参照してください。

  • AWS KMS API の詳細については、AWS Key Management Service API Reference を参照してください。

  • AWS KMS が暗号化を使用し、マスターキーをセキュリティで保護する詳しい技術情報については、「AWS Key Management Service 暗号化の詳細」ホワイトペーパーを参照してください。このホワイトペーパーでは、中国 (北京) および 中国 (寧夏) リージョンで AWS KMS が機能する仕組みについては説明していません。

AWS リージョンの AWS KMS

AWS KMS をサポートしている AWS リージョンは、AWS Key Management Service の「AWS のリージョンとエンドポイント」セクションに一覧されています。AWS KMS がサポートしている AWS リージョンで、サポートされない AWS KMS 機能がある場合は、その機能に関するトピックでリージョンごとの違いが説明されています。

AWS KMS 料金表

他の AWS 製品と同様、AWS KMS を使用するための契約や最低契約金は必要ありません。AWS KMS の料金の詳細については、「AWS Key Management Service 料金表」を参照してください。

サービスレベルアグリーメント (SLA)

AWS Key Management Service は、当社のサービス可用性ポリシーを定義するサービスレベルアグリーメントに基づいて提供されます。